3 апреля 2004
ICQ": дыра в безопасности фирмы
По информации Ferris Research, до 70% офисных работников пользуются "аськой" или другими IM-инструментами в деловых целях, целиком полагаясь на их надежность. Однако сервисы IM представляют собой огромную угрозу для безопасности фирмы.
Специалисты по безопасности, конечно, знают о рисках, связанных с использованием IM-сервисов. Они должны уведомить об этом руководство и разработать комплекс мер.
ИТ-службы компаний прекрасно знают обо всех уязвимостях, однако проблема заключается в том, что они изначально не могут контролировать использование этой программы пользователями. Люди самостоятельно скачивают дистрибутивы и устанавливают их на своих компьютерах. Большинство руководителей даже не знают, какое огромное число их подчиненных, не спросив разрешения, запустили ICQ на своих рабочих компьютерах, таким образом самостоятельно открыв доступ в корпоративную для любого желающего.
Когда ИТ-службы узнают, насколько популярны IM-сервисы среди пользователей, типичной реакцией является паника и попытки перекрыть трафик по известным портам. Это не является лучшим выходом, потому что может вызвать ненависть офисных работников к специалистам ИТ-службы.
К сожалению, IM-сервисы в принципе трудно поддаются защите, потому что в то время, когда они разрабатывались, никто не думал, что они будут широко использоваться в деловых целях. "Аська" и другие интернет-пейджеры изначально были предназначены для тинейджеров. Поэтому программа проектировалась так, чтобы она легко устанавливалась и была максимально примитивна в использовании. Безопасность была излишней. Авторы программы ICQ, например, ввели чисто символическую парольную защиту, ограничив длину пароля шестью символами.
Другая проблема - несовместимость систем шифрования. Сейчас выпускаются специальные корпоративные системы мгновенных сообщений с установлением зашифрованных соединений. Например, Integrity IM Security от Zone Labs. Но при соединении "защищенного" пользователя с другим абонентом шифрование не используется и устанавливается обычное незащищенное соединение.
В данный момент пока не существует идеального решения для защиты сервисов мгновенных сообщений. Только появляются первые системы с применением шифрования каналов, шифрования архивов сообщений и другими мерами по безопасности: это разработки фирм Akonix Systems, Cordant, Facetime Communications и WiredRed Software и др., однако ни одна из них не является абсолютно надежной.
По мнению специалистов из фирмы Ferris Research, которая специализируется в изучении способов защиты сервисов мгновенных сообщений, ИТ-службы компании должны провести тщательный аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к "аське" нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс или запускает ограниченную, менее уязвимую, Java-версию ICQ.
Проблеме "аськи" на рабочих местах необходимо уделить самое пристальное внимание.
Securitylab
ENG
версия
для печати
послать
другу
вверх
